Osnove bezbednosti na internetu
U eri konstantnog i sve vidljivije informatičke sveobuhvatnosti, kada se rad sa računarom, komunikacija i razmena podataka sve čvršće oslanjanja na otvoreni Internet, pojam i poslovi bezbednosti rada i informacija, svakodnevno dobijaju na važnosti. Preduzeća i ustanove ali i sami pojedinci, imaju sve veću realnu potrebu da sprovode posebne radnje u obezbeđenju kvaliteta ovakvog rada ali i sigurnosti i zaštiti informacija i podataka uključenih u ovaj rad.
Važnost ovog segmenta rada na sveobuhvatnom, državnom nivou, potvrđuje i jačanje i strožije definisanje potrebnih procesa, prava i dužnosti kroz direktne, zakonske regulative. Sam Zakon o informacionoj bezbednosti, (Sl.Glasnik RS, br.6/2016) ovu tematiku podiže na nivo zakonskih obaveza odgovornih lica sa jasnim definicijama.
S druge strane, stručna javnost pojačava svoj edukativni rad na ovu temu u cilju podizanja informatičke pismenosti i poslovne svesnosti jer jačanje Računarskog kriminala se može preduprediti samo uzvratnim jačanjem znanja svih učesnika Elektronskog poslovanja.
U ovom članku ćemo pokušati da prenesemo nekoliko pravnih ali i konkretnih, praktičnih saveta za bezbedniji rad i zaštitu podataka na internetu sa željom da vaše poslovno funkcionisanje bude efikasnije i bezbednije a vaša poslovna odgovornost ne bude ugrožena.
Bezbednost na Internetu (Sajber bezbednost) više ne može da se posmatra odvojeno od bezbednosti u realnom svetu. Šteta koja nastane kao rezultat ugrožavanjem bezbednosti rada na internetu ili samih elektronskih podataka (tzv. Sajber napad) je vrlo stvarna i izaziva stvarne posledice i u fizičkom svetu. Ipak, zbog specifičnosti vezanih za tehnologiju, vrste, počinioce i žrtve ovakvih napada, pitanje informatičke bezbednosti zahteva posebnu brigu svih koji se bave Internetom.
Ova vrsta bezbednosti je u sve većoj žiži interesovanja savremenog društva, pre svega, zahvaljujući nagloj ekspanziji broja korisnika Interneta kao i sve većem korišćenju otvorenog Interneta za prenos zvaničnih podataka i poslovnu komunikaciju, čime se ponovila stara istina da tehnologija može da bude i korisna i preteća. Ono što može da se upotrebi u korist društva, može da se upotrebi i na njegovu štetu.
Prateći efekat nagle integracije Interneta u skoro sve oblike ljudske delatnosti je povećana ranjivost savremenog društva od sajber napada. Internet je deo kritične globalne infrastrukture i mnogi drugi bitni servisi savremenog društva (e-Poslovanje, e-Trgovina, e-Bankarstvo…) sve više zavise od Interneta i česta su meta sajber napada.
Internet bezbednosti se može razmatrati prema tri kriterijuma:
- Vrsta akcije (presretanje podataka, ometanje prijema podataka, ilegalni pristup, špijuniranje, uništavanje podataka, sabotaže, uskraćivanje usluga, krađa identiteta…)
- Vrsta počinioca (hakeri, sajber kriminalci, sajber ratnici, sajber teroristi…)
- Vrsta cilja (pojedinci, kompanije, javne institucije, državni organi, kritična infrastruktura…)
Krivična dela protiv bezbednosti računarskih podataka (prema Krivičnom zakoniku Republike Srbije) su:
- Oštećenje računarskih podataka i programa
- Računarska sabotaža
- Pravljenje i unošenje računarskih virusa
- Računarska prevara
- Neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka
- Sprečavanje i ograničavanje pristupa javnoj računarskoj mreži
Neovlašćeno korišćenje računara ili računarske mreže
Pored ovih, Krivični zakonik kao krivična dela navodi i druga dela protiv bezbednosti dece, povrede autorskih prava i prikupljanje ličnih podataka, učinjena putem računara i Interneta, i to:
- Iskorišćavanje računarske mreže ili komunikacije drugim tehničkim sredstvima za izvršenje krivičnih dela protiv polne slobode prema maloletnom licu (dogovoranje sastanka sa maloletnom osobom)
- Prikazivanje, pribavljanje i posedovanje pornografskog materijala i iskorišćavanje maloletnog lica za pornografiju (uključujući i elektronsko objavljivanje i prodaju)
- Neovlašćeno iskorišćavanje autorskog dela (nelegalno umnožavanje, objavljivanje ili prodaja računarskih programa ili zbirka podataka)
- Neovlašćeno prikupljanje ličnih podataka (nekozakonito prikupljanje, preuzimanje ili upotreba podataka o ličnosti građana)
Definiše se kao prisvajanje identiteta druge osobe u cilju činjenja prevare ili nekog drugog krivičnog dela. Ova kriminalna aktivnost ima najveći svetski rast i ne poznaje geografske granice – žrtve i prestupnici mogu biti na suprotnim stranama sveta.
U okvirima samih pravnih lica, najčešći ciljevi kradljivaca identiteta su lični podaci Odgovornih osoba kao i brojevi platnih ili bankovnih kartica ustanove. Preventnitve radnje koje se preporučuju u cilju zaštite od ovakvih dela su:
- Bilo kakvi podaci ove prirode se ne saopštavaju lično, putem telefona ili računara ukoliko nema sigurnosti da se radi o proverenoj osobi ili organizaciji
- Nikada se ne zapisuju PIN brojevi kartica za bankarski promet na samim karticama, bilo kom dokumentu ili papiru u novčaniku
- Zaostali i nepotrebni dokumenti se uništavaju na siguran način (cepanje papirnih dokumenata, brisanje elektronskih podataka sa računara pre prodaje ili bacanja)
- Maksimalno smanjenje nošenja zvaničnih dokumenata svakodnevno sa sobom, ostavljanje u kolima i sl.
- Stalna provera na izvodima banaka eventualnog postojanja neodobrenih transakcija. U slučaju opravdanih sumnji, pokrenuti hitnu proveru sa bankom ili izdavaocem kartice.
- Puna opreznost pri ostavljanju/upisivanju zvaničnih podataka ustanove na javno dostupnim internet sajtovima.
Zlonamerni softver (engl. Malware), predstavlja poseban računarski program koji se može na skriveni način instalirati na računar korisnika sa ciljem u ugrožavanju bezbednosti rada i kreiranju raznih vrsta zloupotreba. Opšte poznati nazivi ovakvih softvera su: računarski špijuni (spaware), virusi, računarski srvi, trojanci i botovi. Neke od zlonamernih radnji koje izvršavaju su: evidencija svega šta se ukuca u računar, pravljenje snimaka ekrana, krađa dokumenata i datoteka, otvaranje „zadnjih vrata“ do računara korisnika,… Sve ukradene informacije se automatski šalju osobi koja je kreirala/instalirala neki od navedenih zlonamernih softvera. Samu instalaciju ovih programa na računare korisnika može da izvrši svako ko ima pristup računaru ali sama instalacija može biti skrivena i ispod nekog, naizgled, bezopasnog priloga poslatog putem elektronske pošte ili podatka na sumnjivom VEB sajtu.
Kao prvi korak preventivne zaštite od mogućih negativnih uticaja ovakvih programa je interna organizacija informatičkog rada svake ustanove. Naime, oni računari na kojima se čuvaju osetljivi podaci i sa kojih se obavljaju finansijske i druge poverljive transakcije je potrebno da imaju instalirane najnovije verzije softvera koji detektuju viruse (Antivirus softveri), da imaju ažurirane operativne (Vindous) sisteme i da lica koja rade na ovim računarima iste restriktivno koriste za slobodan rad na Internetu.
Dodatno, pri samom radu i korišćenju Interneta, treba obratiti pažnju na sledeće:
- Pri preuzimanju bilo kakvog elektronskog materijala sa Interneta koristiti programe za proveru eventualnog zlonamernog sadržaja (Antivirus)
- Povećanje nivoa zaštite na programu-pretraživaču korisnika tako da se ne prihvataju tzv. Cookies sa neproverenih sajtova. Dodatno podesiti ovaj program da ne čuva ukucane lozinke već traži da se svaki put nanovo upiše.
- Ne pokretati linkove dobijene putem elektronske pošte od nepoznatih izvora kao i ne otvarati „prikačene“ fajlove u sumnjivim porukama
- Preuzimanje programa sa Interneta i njihovu instalaciju poveriti ovlašćenom licu sa iskustvom. Eventualno, zabraniti mogućnost instalacije bilo kod dodatnog programa bez adekvatne administrativne lozinke.
- Za lozinke potrebne za onlajn finansijske transakcije koristiti jedinstvene forme različite od svih drugih ličnih lozinki.
Jedna od osnovnih radnji koja spada u preventivnu zaštitu informatičke bezbednosti svake ustanove je pravilna organizacija njene unutrašnje/privatne računarske mreže. Pod samom računarskom mrežom, podrazumevamo načine interne povezanosti računara ustanove, njihova veza sa Internetom i međusobna povezanost sa drugim privatnim računarskim mrežema.
U ovoj organizaciji, potrebno je posebno obratiti pažnju na nekoliko bezbednosno osetljivih radnji i to:
- Organizaciju rada na umreženim računarima sprovesti po pravilima hijararhijskog pristupa, kreiranja i menjanja dokumenata u skladu sa radnim obavezama i nivoima odgovornosti
- Sam rad na kreiranju računarskih prava poveriti Stručnom licu i obezbediti punu zaštitu i poverljivost tako nastalih operativnih podataka
Računarske veze ka Internetu sprovesti uz obezbeđenje dovoljnog nivoa zaštite od neovlašćenog pristupa spolja ali i pristupa samih korisnika interneta sajtovima visokog bezbednosnog rizika. - Računare/servere na kojima se čuvaju podaci poverljivog sadržaja i/ili sa kojih se obavlja finansijska ili druga osetljiva komunikacija zaštiti na poseban način
- Arhiviranje podataka organizovati uz punu zaštitu pristupa i s aktivnom i stručnom administracijom
- Dodatno se upoznati sa navodima Zakona o informacionoj bezbednosti (Sl.Glasnik RS, br.6/2016), kao i četiri dopunskih uredbi ovog zakona objavljenih u Sl.Glasniku od 24.novembra 2016. godine. – pisali smo o tome u našem Pravnom Savetniku, broj 24/2016. Na osnovu tamo datih zakonskih navoda, ispitati da li i koje radnje vaša ustanova treba preduzeti kao svoje zakonske obaveze.
U slučajevima kada se dogodi realna i definisana ugroženost informatičke vezbednosti ustanove ili bar osnovana sumnja, moguće je istu prijaviti stručnim licima i ustanovama koje se bavi borbom protiv visokotehnološkog kriminala.
Samim Zakonom o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala uređeno je obrazovanje, organizacija, nadležnost i ovlašćenja posebnih organizacionih jedinica državnih organa radi otkrivanja, krivičnog gonjenja i suđenja za krivična dela određena ovim zakonom i to za:
- krivična dela protiv bezbednosti računarskih podataka određena Krivičnim zakonikom;
- krivična dela protiv intelektualne svojine, imovine, privrede i pravnog saobraćaja, kod kojih se kao objekat ili sredstvo izvršenja krivičnih dela javljaju računari, računarski sistemi, računarske mreže i računarski podaci, kao i njihovi proizvodi u materijalnom ili elektronskom obliku, ako broj primeraka autorskih dela prelazi 2000 ili nastala materijalna šteta prelazi iznos od 1.000.000 dinara;
- krivična dela protiv sloboda i prava čoveka i građanina, polne slobode, javnog reda i mira i ustavnog uređenja i bezbednosti Republike Srbije, koja se zbog načina izvršenja ili upotrebljenih sredstava mogu smatrati krivičnim delima visokotehnološkog kriminala, u skladu sa članom 2. stav 1. ovog zakona.Za postupanje u predmetima krivičnih dela na osnovu ovog zakona nadležno je Više javno tužilaštvo u Beogradu za celu teritoriju Republike Srbije. U okviru ovog tužilaštva, obrazovano je posebno odeljenje za borbu protiv visokotehnološkog kriminala tj. Posebno tužilaštvo. Radom ovog Posebnog tužilaštva rukovodi Posebni tužilac za visokotehnološki kriminal.Dodatno, u okvirima Uprave kriminalističke policije i Odeljenja za borbu protiv organizovanog kriminala, radi i Odeljenja za borbu protiv visoko-tehnološkog kriminala čiji je dužnost borba protiv ugrožavanja informatičke bezbednosti pravnih i fizičkih lica.
Ove dve ustanove se mogu i direktno kontaktirati u slučajevima prijavljivanja krivičnog dela visoko-tehnološkog kriminala i to na imejl adrese:- Posebno tužilaštvo za visoko-tehnološki kriminal vtk@beograd.vtk.rs
- SBPOK – Odeljenje za borbu protiv visoko-tehnološkog kriminala ukp@mup.gov.rs
U prijavi samog krivičnog dela, potrebno je dostaviti sledeće podatke:
- Kompletni lični podaci i podaci ustanove/preduzeća
- Informacije o licu/organizaciji koje je nanelo štetu (sve poznate i/ili raspoložive podatke)
- Novčani gubitak (ukupno poznati iznos ili procena pričinjene štete)
- Opis incidenta i dokazi (slobodan opis nastalog incidenta i lista i podaci sa eventualnim dokazima dela)
- Kontakt za svedoke i druge žrtve (ukoliko postoje, njihovi kontakt podaci)